基于IPv6與IPv4雙協議棧的園區網絡規劃與設計
2020-12-08 02:12:05王魁
數碼設計 2020年16期
摘要:近年來隨著網絡技術迅速發展,各類園區網對公網IP地址需求量急劇增大,大量地址翻譯(NAT)技術的應用增加了設備的消耗。在充分考慮部分園區網原有網絡架構的基礎上,本文主要從IPv6與IPv4雙協議棧網絡設計、網絡部署、網絡安全防護三個方面開展基于IPv6與IPv4雙協議棧的園區網絡規劃與設計,兼具一定的實用性、安全性。
關鍵詞:園區網;IPv4;IPv6;雙協議棧
中圖分類號:TP393.04?? 文獻標識碼:A?? 文章編號:1672-9129(2020)16-0055-01
近年來隨著互聯網技術迅猛發展,各大園區網對公網IPv4地址需求量急劇增大,公網IPv4地址已于2019年11月26日宣告正式耗盡,這使得園區網中不得不大量使用NAT等技術以延緩IPv4地址匱乏的問題,這也無形中增加了園區網絡的復雜性和管理難度,因此建設IPv6園區網并逐步取代IPv4已成為必然趨勢。通過前期調研了本地部分園區網部署情況發現,園區內部匯聚層、接入層網絡設備并不支持IPv6;而對于少數已部署IPv6環境的園區網絡,IPv6網絡多以孤島形式存在。本文主要從IPv6與IPv4雙協議棧網絡設計、IPv6與IPv4雙協議棧網絡部署、IPv6與IPv4雙協議棧網絡安全防護等三個方面內容開展園區網絡規劃與設計。
1 IPv6與IPv4雙協議棧網絡設計
結合目前實際,如果直接從IPv4網絡直接向純IPv6的網絡轉變,將受到諸多方面因素限制,且成本較高。考慮以上因素,園區網核心設備采用雙協議棧技術來部署。這使得在園區網全網在完全過渡到IPV6之前,使新興終端能夠接入IPV6網絡;而對于暫時無法換新的舊終端設備,仍然能使用IPv4網絡,從而實現了IPv4和IPv6網絡同時存在于園區網絡,IPv4設備和IPv6設備均不會以孤島形勢存在。
在園區網中一些具有新興終端需求的部門,如智能家電、智能終端、機器人的需求,增加部署支持IPv6的匯聚層交換機,使新終端能夠使用IPv6網絡進行通信;當此類終端需要與IPv4網絡進行通信時,采用IPv6 to IPv4協議翻譯技術[1],使兩者之間能夠進行實時通信。在一些傳統業務部門,限于網絡終端比較老舊,僅支持IPv4網絡,匯聚層網絡設備仍然采用IPv4接入核心,同樣配置協議翻譯技術,使新老部門之間能夠正常通信。原有新興部門替換下的匯聚層網絡設備,直接放入傳統部門的網絡匯聚層使用,一方面解決原先傳統業務部門無冗余設備、冗余鏈路的問題,另一方面可節約一部分成本,符合國家節能減排的方針政策。
核心層設備通過虛擬化技術(典型的有華為CSS、華三IRF、思科VSS)將兩臺甚至更多臺核心層設備組合在一起,邏輯成一臺設備,可以實現網絡高可靠性和高速數據量轉發,同時簡化網絡管理,減少網絡中次優路由的產生,擴展了端口數、帶寬和容錯能力。
2 IPv6與IPv4雙協議棧網絡部署
隨著運營商IPv6網絡的普及,使得園區核心層設備實現IPv6出口成為了必然趨勢,可以將與運營商互聯的出口設備升級為支持IPv6的BGP4+協議。
對于內部路由協議,支持IPv6的內部網關協議有:RIPng、OSPFv3、IS-ISv6協議[2]。在綜合考慮大部分園區網原有路由協議為OSPFv2的基礎上,確立使用OSPFv3作為域內路由協議。OSPFv3的設計思路可以沿用OSPFv2的思路。由于核心層設備使用了雙協議棧技術,為使得IPv6網絡與平滑對接,OSPFv2和OSPFv3兩套協議同時部署在核心層和匯聚層,此時兩套協議是互相獨立的。OSPFv3的邏輯拓撲圖(包括區域規劃)和OSPFv2基本保持一致,簡化網絡的運維管理。
在IPv6網絡中,涉及WEB和視頻等服務器的部署。其中WEB服務器的過渡選擇雙棧共存模式,可使得對外提供的WEB服務得到平滑過渡。而鑒于園區網的組播業務與日俱增,若原來采用PIM-DM組播模式的園區網則改為采用PIM-SM方式,不同分部、不同業務根據網絡結構、用戶分布的情況選擇RP節點,相比原先部署的PIM-DM效率明顯提高。
3 IPv6與IPv4雙協議棧網絡安全防護
2016年國家發布了《國家網絡空間安全戰略》,足以見的國家對網絡安全的重視。對于新組建的IPv6園區網,網絡安全工作仍然不可忽視。IPv6本身不再具有廣播功能,取而代之的是組播數據。雖然在核心層設備上部署了雙協議棧,但是考慮到IPv4的攻擊技術層出不窮,在核心層設備將對外提供服務以外的數據,均封裝為IPv6的數據包。網絡邊界升級為兩臺支持雙協議共存的防火墻,將對外服務器部署在DMZ(非軍事化)區,防止因服務器被攻破導致的內部數據丟失、內部網絡癱瘓。在內部部署一臺流量清洗設備,用來應對突發的DDos(分布式拒絕服務)攻擊。與此同時,在內部需部署一臺支持雙協議棧的流量審計設備,一方面對攻擊行為進行及時記錄、取證,另一方面對于網絡攻擊行為能起到一定的震懾作用。
4 結語
本文主要從IPv6與IPv4雙協議棧網絡設計、網絡部署、網絡安全防護三個方面開展了基于IPv6與IPv4雙協議棧的園區網絡規劃與設計,隨著IPv6網絡和應用的普及,后續將逐步考慮使用純IPv6網絡取代雙協議棧網絡,形成更安全、更高效的園區網絡。
參考文獻:
[1]陳波.基于ThreadX操作系統的Ipv6隧道研究[D]. 上海:東華大學,2012.
[2]王宇杰.OSPFv3及其在高校下一代校園網建設中的應用[J]. 網絡與信息, 2010,(06):27-27.
作者簡介:王魁(1990.6-),男,漢族,湖南懷化人,碩士,助理工程師。研究方向:網絡規劃設計與安全防護。
